CN117195205B - 可信dcs上位机程序动态验证方法、***、设备及介质 - Google Patents

Abstract

一种可信DCS上位机程序动态验证方法、***、设备及介质，方法包括制定节点对应的动态度量策略；设定DCS***可信度量目标进程和周期，并启动动态度量模块，加载节点对应的动态度量策略，读取需要加入动态度量模块的进程清单以及可信度量的周期；根据进程清单以及可信度量的周期，进行动态度量模块可信验证，在动态度量模块可信的情况下，周期性的通过动态可信度量功能对所有进程的代码区进行动态可信度量，并且在进程的常量区和全局变量区赋值作为标记，在代码区动态可信度量结束后，继续对常量区和全局变量区进行扫描，对比标记是否变化，据此判断代码区的动态可信度量结果是否可信。本发明能够准确、迅速的反馈动态可信验证结果。

Description

可信DCS上位机程序动态验证方法、***、设备及介质

技术领域

本发明属于工控***安全技术领域，具体涉及一种可信DCS上位机程序动态验证方法、***、设备及介质。

背景技术

分散控制***（简称“DCS***”）及其相关衍生产品已经在全球电力行业中获得了广泛的应用。随着工业化与信息化的深度融合，大量的工厂设备和生产数据正在不断连接汇聚，使原先封闭隔离的控制***逐渐开放互联。在电力生产跨越性发展的同时，也带来了严峻的网络安全问题。目前，国内DCS***虽然已经开始逐步推进自主可控改造，但设备的检修维护、升级改造受制于***厂商，并且大多数厂商发布了自主加固风险声明，将不对未使用原厂网络设备导致的安全事件负责。由此，造成国内DCS***的总体安全防护率普遍较低。为了提高自主DCS***的安全防护能力，设计适用于DCS控制场景的可信计算技术是十分必要的。

在基于可信技术的火电厂工控***中，所有的***程序需要定期进行动态可信验证，防止被恶意软件篡改。而在不同的应用场景下，每一台可信节点配置的程序不尽相同。因为安全级别的区分，不同节点的可信监控粒度也需要进行定制化的设置。由于电厂的特殊安全要求，需要确保当某台节点发现被篡改后，可以迅速的通知电厂业主。

发明内容

本发明的目的在于针对上述现有技术中的问题，提供一种可信DCS上位机程序动态验证方法、***、设备及介质，能够准确、迅速的反馈动态可信验证结果。

为了实现上述目的，本发明有如下的技术方案：

第一方面，提供一种可信DCS上位机程序动态验证方法，包括以下步骤：

根据节点所在区域的安全等级和节点角色制定对应的动态度量策略；

设定DCS***可信度量目标进程和周期，并启动动态度量模块，加载节点对应的动态度量策略，读取需要加入动态度量模块的进程清单以及可信度量的周期；

根据进程清单以及可信度量的周期，进行动态度量模块可信验证，在动态度量模块可信的情况下，周期性的通过动态可信度量功能对所有进程的代码区进行动态可信度量，并且在进程的常量区和全局变量区赋值作为标记，在代码区动态可信度量结束后，继续对常量区和全局变量区进行扫描，对比标记是否变化，据此判断代码区的动态可信度量结果是否可信。

作为一种优选的方案，所述根据进程清单以及可信度量的周期，进行动态度量模块可信验证的步骤中，根据进程清单生成对应的内存区域，使用平台安全处理器作为动态度量的可信根对动态度量模块进行动态度量。

作为一种优选的方案，在对所有进程的代码区进行动态可信度量时，将每个进程的内存地址与代码区的第一验证周期信息发送给平台安全处理器进行存储；通过可信的动态度量模块周期性的将进程的代码区内存信息发送给平台安全处理器进行动态度量并与存储结果进行对比，判断动态度量结果是否可信。

作为一种优选的方案，所述在进程的常量区和全局变量区赋值作为标记的步骤中，在进程的常量区设置6个byte长度的const常量作为标记，常量值为0xEB90EB90EB90；在进程的全局变量区也设置6个byte长度的全局变量，变量值为0xEB90EB90EB90；在编译之后，扫描标记及所在地址并记录到存储结果内；

所述在代码区动态可信度量结束后，继续对常量区和全局变量区进行扫描，对比标记是否变化，据此判断代码区的动态可信度量结果是否可信的步骤中，将扫描得到的标记与之前存储的结果进行对比，变化包括所赋值的移位、丢失以及篡改中的任意一种或多种。

作为一种优选的方案，所述判断代码区的动态可信度量结果是否可信的步骤中，在常量区和全局变量区的判断结果为不可信的情况下，生成可信告警信息，并现场确认是否存在人工操作，现场判断是否需要将不可信进行的值班状态切换到备选值班，选择另一台备选值班节点升级为值班节点。

作为一种优选的方案，所述进行动态度量模块可信验证的步骤中，如果动态度量模块不可信，禁止所述动态度量模块对进程的代码区进行动态可信度量，并输出所述动态度量模块不可信的告警通知；在对所有进程的代码区进行动态可信度量的步骤中，在进程的代码区不可信的情况下，生成可信告警信息；将不可信进程的值班状态切换到备选值班，选择另一台备选值班节点升级为值班节点。

作为一种优选的方案，在进程的代码区不可信的情况下，生成提示信息，所述提示信息包括进程所对应不可信节点的计算机名、位置信息及异常进程名，打印提示信息，提示操作人员进行相关处理；

如果进程被动态度量模块判决为不可信进程且为非常驻关键进程，则将对应进程设置为自动关闭状态；如果对应进程在自动关闭状态下，允许动态度量模块强制关闭对应进程。

第二方面，提供一种可信DCS上位机程序动态验证***，包括：

动态度量策略制定模块，用于根据节点所在区域的安全等级和节点角色制定对应的动态度量策略；

进程动态度量启动模块，用于设定DCS***可信度量目标进程和周期，并启动动态度量模块，加载节点对应的动态度量策略，读取需要加入动态度量模块的进程清单以及可信度量的周期；

动态可信度量模块，用于根据进程清单以及可信度量的周期，进行动态度量模块可信验证，在动态度量模块可信的情况下，周期性的通过动态可信度量功能对所有进程的代码区进行动态可信度量，并且在进程的常量区和全局变量区赋值作为标记，在代码区动态可信度量结束后，继续对常量区和全局变量区进行扫描，对比标记是否变化，据此判断代码区的动态可信度量结果是否可信。

第三方面，提供一种电子设备，包括：

存储器，存储至少一个指令；及处理器，执行所述存储器中存储的指令以实现所述的可信DCS上位机程序动态验证方法。

第四方面，提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现所述的可信DCS上位机程序动态验证方法。

相较于现有技术，本发明至少具有如下的有益效果：

在部署动态度量之前根据节点所在区域的安全等级和节点角色制定对应的动态度量策略，确保DCS***关键进程都在动态度量策略的列表中。在动态度量模块启动时，加载节点对应的动态度量策略，读取需要加入动态度量进程的进程清单以及可信度量的周期，根据进程清单生成对应的内存区域，进行动态度量模块可信验证，本发明利用动态度量模块周期性的对所有DCS***进程进行可信度量，在可信度量之前先对动态度量模块进行可信验证，保证动态度量模块自身的可信性，如果动态度量结果不可信，禁止该动态度量模块对用户进行可信动态度量验证，并输出动态度量模块不可信的告警通知。在确定动态度量模块可信的情况下，基于可信链进行DCS***应用进程的周期性可信度量。本发明利用进程的代码区、常量区和全局变量区进行多重验证，在进程的常量区和全局变量区赋值作为标记，通过增加校验点，能够在对代码区度量结果动态可信验证的基础上保证重要变量的安全。本发明能够最大程度减少可信度量对日常运维业务的干扰，满足电厂业主对于动态度量的部署需求。

进一步的，本发明对所有DCS***进程进行可信度量的步骤中，在DCS***进程不可信的情况下，生成可信告警信息；将不可信进程的值班状态切换到备选值班，选择另一台备选值班节点升级为值班节点，满足电厂机组安全问题不能直接停止***进程的需要，在进程不可信的情况下，通过告警以及切换主备的方式限制不可信的进程对机组的影响。

进一步的，本发明根据进程清单以及可信度量的周期，进行动态度量模块可信验证的步骤中，使用平台安全处理器作为动态度量的可信根对动态度量模块进行动态度量，采用硬件级别的动态可信根，满足负荷可信计算对可信根的要求，能够显著提高动态验证的安全性，保护火电机组的信息安全性并减少对火电机组的影响。

附图说明

为了更加清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作以简单地介绍，应当理解，以下附图仅示出了本发明部分实施例，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1 本发明实施例可信DCS上位机程序动态验证方法流程图；

图2 本发明实施例对进程分区进行动态可信度量的原理框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员还可以在没有做出创造性劳动的前提下获得其他实施例。

请参阅图1，本发明实施例可信DCS上位机程序动态验证方法，包括以下步骤：

S1.根据节点所在区域的安全等级和节点角色制定对应的动态度量策略；

S2.设定DCS***可信度量目标进程和周期，并启动动态度量模块，加载节点对应的动态度量策略，读取需要加入动态度量模块的进程清单以及可信度量的周期；

S3.根据进程清单以及可信度量的周期，进行动态度量模块可信验证，在动态度量模块可信的情况下，周期性的通过动态可信度量功能对所有进程的代码区进行动态可信度量，并且在进程的常量区和全局变量区赋值作为标记，在代码区动态可信度量结束后，继续对常量区和全局变量区进行扫描，对比标记是否变化，据此判断代码区的动态可信度量结果是否可信：

S31、当动态度量模块不可信，禁止动态度量模块对DCS***进程进行可信度量，并输出动态度量模块不可信的告警通知。

S32、在动态度量模块可信的情况下，周期性的通过动态可信度量功能对所有DCS***进程进行可信度量。

步骤S32对所有DCS***进程进行可信度量具体包括：

将每个进程的内存地址与代码区的第一验证周期信息发送给平台安全处理器进行存储；

通过可信的动态度量模块周期性的将进程的代码区内存信息发送给平台安全处理器进行动态度量并与存储结果进行对比，判断动态度量结果是否可信。

S33、如图2所示，按照程序的存储结构，进程的内存区域可以划分为代码区、常量区、全局数据区、堆区及栈区。代码区为函数体所在区，度量时需要哈希值需要完全一致。常量区存储const常量，用于***特征序列进行比对。全局数据区用于***特征序列进行比对。本发明实施例在程序编码过程中，在进程的常量区设置6个byte长度的const常量，常量值为0xEB90EB90EB90，按照顺序分配在常量队列中间附近的位置。同理，在进程的全局变量区也设置6个byte长度的全局变量，变量值为0xEB90EB90EB90，按照顺序分配在变量队列中间附近的位置。在整个程序文件中，常量和全局变量在赋值后不再进行操作，确保其他变量不会赋值为该特征序列。在程序编译之后，通过对内存区域进行扫描，确认常量区和全局变量区所在地址并记录到存储结果内。

更进一步的，在代码区动态度量结束后，继续对进程的常量区和全局变量区进行扫描，确认0xEB90EB90EB90内存值所在的地址位置，并与之前存储的结果进行比对，确认标记是否存在移位、丢失、篡改等情况，判断动态度量结果是否可信。

在常量区和全局变量区的判断结果为不可信的情况下，生成可信告警信息，并由现场操作人员确认现场是否存在debug等人工操作，现场人员判断是否需要将不可信进行的值班状态切换到备选值班，选择另一台备选值班节点升级为值班节点。

如果步骤S32判断当前DCS***进程可信，则等待下一个周期再返回进行判断。

而在进程的代码区不可信的情况下，生成可信告警信息，并且，将不可信进程的值班状态切换到备选值班，选择另一台备选值班节点升级为值班节点。

在进程的代码区不可信的情况下，生成提示信息，所述提示信息包括进程所对应不可信节点的计算机名、位置信息及异常进程名，打印提示信息，提示操作人员进行相关处理。

如果进程被动态度量模块判决为不可信进程且为非常驻关键进程，则将对应进程设置为自动关闭状态；如果对应进程在自动关闭状态下，允许动态度量模块强制关闭对应进程。

本发明实施例应用于上位机DCS***动态可信度量，首先，在动态度量模块加载时，使用具备可信根的平台安全处理器对动态度量模块进行可信度量，保证动态度量模块自身的可信性；其次，在确定动态度量模块可信的情况下，基于可信链进行DCS***应用进程的周期性可信度量。本发明利用进程的代码区、常量区和全局变量区进行多重验证，在进程的常量区和全局变量区赋值作为标记，通过增加校验点，能够在对代码区度量结果动态可信验证的基础上保证重要变量的安全。在程序不可信的情况下，由于电厂机组安全问题不能直接停止***进程，本发明实施例通过告警以及切换主备的方式限制不可信的进程对机组的影响。并且本发明实施例具有硬件级别的动态可信根，负荷可信计算对可信根的要求，能够显著提高动态验证的安全性，保护火电机组的信息安全性并减少对火电机组的影响。

本发明另一实施例还提出一种可信DCS上位机程序动态验证***，包括：

动态度量策略制定模块，用于根据节点所在区域的安全等级和节点角色制定对应的动态度量策略；

进程动态度量启动模块，用于设定DCS***可信度量目标进程和周期，并启动动态度量模块，加载节点对应的动态度量策略，读取需要加入动态度量模块的进程清单以及可信度量的周期；

动态可信度量模块，用于根据进程清单以及可信度量的周期，进行动态度量模块可信验证，在动态度量模块可信的情况下，周期性的通过动态可信度量功能对所有进程的代码区进行动态可信度量，并且在进程的常量区和全局变量区赋值作为标记，在代码区动态可信度量结束后，继续对常量区和全局变量区进行扫描，对比标记是否变化，据此判断代码区的动态可信度量结果是否可信。

本发明另一实施例还提出一种电子设备，包括：存储器，存储至少一个指令；及处理器，执行所述存储器中存储的指令以实现所述的可信DCS上位机程序动态验证方法。

本发明另一实施例还提出一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现所述的可信DCS上位机程序动态验证方法。

示例性的，所述存储器中存储的指令可以被分割成一个或多个模块/单元，所述一个或者多个模块/单元被存储在计算机可读存储介质中，并由所述处理器执行，以完成本发明的可信DCS上位机程序动态验证方法。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机可读指令段，该指令段用于描述所述计算机程序在服务器中的执行过程。

所述电子设备可以是智能手机、笔记本、掌上电脑及云端服务器等计算设备。所述电子设备可包括，但不仅限于，处理器、存储器。本领域技术人员可以理解，所述电子设备还可以包括更多或更少的部件，或者组合某些部件，或者不同的部件，例如所述电子设备还可以包括输入输出设备、网络接入设备、总线等。

所述处理器可以是中央处理单元(Central Processing Unit，CPU)，还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

所述存储器可以是所述服务器的内部存储单元，例如服务器的硬盘或内存。所述存储器也可以是所述服务器的外部存储设备，例如所述服务器上配备的插接式硬盘，智能存储卡(Smart Media Card ,SMC)，安全数字(Secure Digital ,SD)卡，闪存卡(FlashCard)等。进一步地，所述存储器还可以既包括所述服务器的内部存储单元也包括外部存储设备。所述存储器用于存储所述计算机可读指令以及所述服务器所需的其他程序和数据。所述存储器还可以用于暂时地存储已经输出或者将要输出的数据。

需要说明的是，上述模块单元之间的信息交互、执行过程等内容，由于与方法实施例基于同一构思，其具体功能及带来的技术效果，具体可参见方法实施例部分，此处不再赘述。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，仅以上述各功能单元、模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能单元、模块完成，即将所述装置的内部结构划分成不同的功能单元或模块，以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中，上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。另外，各功能单元、模块的具体名称也只是为了便于相互区分，并不用于限制本申请的保护范围。上述***中单元、模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请实现上述实施例方法中的全部或部分流程，可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。其中，所述计算机程序包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质至少可以包括：能够将计算机程序代码携带到拍照装置/终端设备的任何实体或装置、记录介质、计算机存储器、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，RandomAccess Memory)、电载波信号、电信信号以及软件分发介质。例如U盘、移动硬盘、磁碟或者光盘等。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述或记载的部分，可以参见其它实施例的相关描述。

以上所述实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围，均应包含在本申请的保护范围之内。

Claims (9)

1.一种可信DCS上位机程序动态验证方法，其特征在于，包括以下步骤：

根据节点所在区域的安全等级和节点角色制定对应的动态度量策略；

设定DCS***可信度量目标进程和周期，并启动动态度量模块，加载节点对应的动态度量策略，读取需要加入动态度量模块的进程清单以及可信度量的周期；

根据进程清单以及可信度量的周期，进行动态度量模块可信验证，在动态度量模块可信的情况下，周期性的通过动态可信度量功能对所有进程的代码区进行动态可信度量，并且在进程的常量区和全局变量区赋值作为标记，在代码区动态可信度量结束后，继续对常量区和全局变量区进行扫描，对比标记是否变化，据此判断代码区的动态可信度量结果是否可信；

所述根据进程清单以及可信度量的周期，进行动态度量模块可信验证的步骤中，根据进程清单生成对应的内存区域，使用平台安全处理器作为动态度量的可信根对动态度量模块进行动态度量。

2.根据权利要求1所述的可信DCS上位机程序动态验证方法，其特征在于，在对所有进程的代码区进行动态可信度量时，将每个进程的内存地址与代码区的第一验证周期信息发送给平台安全处理器进行存储；通过可信的动态度量模块周期性的将进程的代码区内存信息发送给平台安全处理器进行动态度量并与存储结果进行对比，判断动态度量结果是否可信。

3.根据权利要求1所述的可信DCS上位机程序动态验证方法，其特征在于，所述在进程的常量区和全局变量区赋值作为标记的步骤中，在进程的常量区设置6个byte长度的const常量作为标记，常量值为0xEB90EB90EB90；在进程的全局变量区也设置6个byte长度的全局变量，变量值为0xEB90EB90EB90；在编译之后，扫描标记及所在地址并记录到存储结果内；

所述在代码区动态可信度量结束后，继续对常量区和全局变量区进行扫描，对比标记是否变化，据此判断代码区的动态可信度量结果是否可信的步骤中，将扫描得到的标记与之前存储的结果进行对比，变化包括所赋值的移位、丢失以及篡改中的任意一种或多种。

4.根据权利要求3所述的可信DCS上位机程序动态验证方法，其特征在于，所述判断代码区的动态可信度量结果是否可信的步骤中，在常量区和全局变量区的判断结果为不可信的情况下，生成可信告警信息，并现场确认是否存在人工操作，现场判断是否需要将不可信进行的值班状态切换到备选值班，选择另一台备选值班节点升级为值班节点。

5.根据权利要求1所述的可信DCS上位机程序动态验证方法，其特征在于，所述进行动态度量模块可信验证的步骤中，如果动态度量模块不可信，禁止所述动态度量模块对进程的代码区进行动态可信度量，并输出所述动态度量模块不可信的告警通知；在对所有进程的代码区进行动态可信度量的步骤中，在进程的代码区不可信的情况下，生成可信告警信息；将不可信进程的值班状态切换到备选值班，选择另一台备选值班节点升级为值班节点。

6.根据权利要求1所述的可信DCS上位机程序动态验证方法，其特征在于，在进程的代码区不可信的情况下，生成提示信息，所述提示信息包括进程所对应不可信节点的计算机名、位置信息及异常进程名，打印提示信息，提示操作人员进行相关处理；

如果进程被动态度量模块判决为不可信进程且为非常驻关键进程，则将对应进程设置为自动关闭状态；如果对应进程在自动关闭状态下，允许动态度量模块强制关闭对应进程。

7.一种可信DCS上位机程序动态验证***，其特征在于，包括：

动态度量策略制定模块，用于根据节点所在区域的安全等级和节点角色制定对应的动态度量策略；

进程动态度量启动模块，用于设定DCS***可信度量目标进程和周期，并启动动态度量模块，加载节点对应的动态度量策略，读取需要加入动态度量模块的进程清单以及可信度量的周期；

动态可信度量模块，用于根据进程清单以及可信度量的周期，进行动态度量模块可信验证，在动态度量模块可信的情况下，周期性的通过动态可信度量功能对所有进程的代码区进行动态可信度量，并且在进程的常量区和全局变量区赋值作为标记，在代码区动态可信度量结束后，继续对常量区和全局变量区进行扫描，对比标记是否变化，据此判断代码区的动态可信度量结果是否可信；

所述根据进程清单以及可信度量的周期，进行动态度量模块可信验证的步骤中，根据进程清单生成对应的内存区域，使用平台安全处理器作为动态度量的可信根对动态度量模块进行动态度量。

8.一种电子设备，其特征在于，包括：

存储器，存储至少一个指令；及处理器，执行所述存储器中存储的指令以实现如权利要求1至6中任一项所述的可信DCS上位机程序动态验证方法。

9.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至6中任一项所述的可信DCS上位机程序动态验证方法。